新办公楼网络系统方案

新办公楼网络系统

设计方案

2019年12月27日

目 录

1. . 新办公楼网络系统说明 ............................ 3

1.1 系统设计思想 ....................................................................................... 3

1.2 系统设计原则 ....................................................................................... 3

2. . 新办公楼网络系统设计 ............................ 5

2.1 新办公楼网络结构 ................................................................................. 5

2.2 交换机功能规划 .................................................................................... 6 2.3 接入Internet规划 ................................................................................ 7

2.3.1 移动用户远程VPN接入规划 ........................................................... 8

2.3.2 网络可靠性规划 ............................................................................. 8

3. . 新办公楼网络IP和路由设计 ........................ 8

3.1 新办公楼网络VLAN规划 ....................................................................... 8 3.2 新办公楼网络IP地址规划 ...................................................................... 9

3.2.1 内部地址划分 ................................................................................ 9 3.3 新办公楼网络路由规划 ......................................................................... 10 3.3.1 路由协议选择 .............................................................................. 10

3.3.2 新办公楼网路由设计 .................................................................... 10

4. . 新办公楼网络安全设计 ........................... 11

4.1 新办公楼网络出口安全 ......................................................................... 12 4.1.1 防火墙安全规划 ........................................................................... 12

4.1.2 移动用户接入 VPN接入 ............................................................... 14 4.2 核心交换机OmniSwitch9800技术特性 ................................................ 14 4.3 交换机OmniSwitch 6450技术特性 ..................................................... 21 4.4 千兆防火墙系统性能 ............................................................................ 25

5. . 售后服务计划 ................................... 27

1. 新办公楼网络系统说明

1.1 系统设计思想

新办公楼作为绥德县标志性建筑，其高端的网络系统是在所难免的。本网络系统主要分为两部分：

办公网络。

本网络系统要既要满足新办公楼日常办公管理的业务需求，包括楼内办公人员宽带上网，视频会议等。

本网络系统的骨干网为万兆以太网，千兆传输到桌面。集成一个集数据、语音、视频、图像于一体的高带宽、多功能、多服务、开放性、多业务接入的IP多媒体交换计算机网络。

本网络系统与外界互联需要加载防火墙等安全设备，配合其它网络安全措施，以保证系统的安全性,整个计算机网络系统分为二层结构：核心层和接入层。

核心层配置一台模块化的万兆线速路由交换机，交换机位于中心机房，各种数据流在这里集中交换和路由。

千兆接入交换机位于各楼层的弱电间，接入交换机通过1000M接入桌面，通过光纤上联到核心交换机，接入交换机除提供终端计算机的联网接入外，还提供IP电话、视频图像等的接入。

1.2 系统设计原则

新办公楼网络系统负担着内部的各部门的网络通信，要提供网络与Internet之间的通信，提供数据、语音、视频多媒体的融合，实现三网融合，同时承载大量的智能控制子系统通信（如门禁、防盗系统、楼宇自控系统等）。因此，其带宽和性能的要求非常高,不仅要满足数据信息服务的高速需求，还要为整个新办公楼网络的外部访问提供高带宽、高性能的网络通道。网络设计时将遵循以下原则：

 先进性: 新办公楼网络为了支持数据、话音、视频多媒体的传输能力,在技术上要采用

最先进、成熟的网络技术来满足目前的网上应用需求,并考虑未来的发展。网络主干设备应选用高带宽的、先进的万兆位线速路由交换技术，能够承载和交换各种信息。  可扩展性和可升级性：随着信息化的不断发展和应用水平的提高,网络中的数据和信息

流会呈指数增长，需要网络有很好的可扩展性，并能随技术的发展不断升级。  国际标准性和开放性：网络系统应该是一个开放型的网络,支持各种协议的互联。选用

符合国际标准的系统和产品,保证系统具有较长的生命力和扩展能力,满足将来系统升级的要求。

 可靠性：可靠性是所有类型的网络所必须具备的特性。这种可靠性不仅表现在通过网

络提供的信息资源，还需要由可靠的网络基础平台来保证，网络结构的先进性、冗错性和稳定的QoS是使得各种网络应用可靠完成的前提。而这些都必须通过可靠稳定的网络设备来保证。

 安全性：新办公楼网络中存在各种内部专用信息，这些信息必须得到可靠的保护，要

防止黑客对网络系统的攻击，还必须防止内部工作人员的误操作而导致的网络故障。新办公楼网络的安全性一方面要从信息提供角度来保证，即从应用系统中来保证信息安全性，另一方面需要结合网络结构和网络设备来保证，与先进网络设备所提供的各种安全机制相结合。

 易管理和易维护性：网络系统具有良好的可管理性,网管系统具有监测、故障诊断、故

障隔离、过滤设置、灵活实现用户级别的设置等功能。

 实用性：网络系统选用的硬件设备和软件系统应当具有良好的性能价格比，网络系统

的日常管理和维护简单方便，经济实用，网络拓扑结构和技术符合多媒体应用对主干网络的要求。

 投资保护：网络系统选用的网络设备应当能够充分保护原有网络设备投资，按照实际

需要方便的升级调整，尽可能的延长原有设备的使用价值。

 高性能和服务质量(QoS)保障：新办公楼网络系统将承载大量的交互信息，对网络设备

的性能要求高，不仅要提供办公自动化平台、数据信息服务，还必须为许多先进的网络应用提供支持。例如，除了传统的Internet服务(Email、FTP、WWW、数据库查询)外，还要提供网络视频会议、视频点播、VoIP等多媒体应用类型。这些应用的通信方式和对传输网络的要求各不相同，所以网络必须具有面向应用的特性和提供，QoS保证能力，才能有效地为不同的网络应用提供可靠的传输。

 IP Multicast支持：由于今后网络中多媒体的应用(如视频会议、VOD等)越来越多,往

往会占用大量的带宽资源。所以全网必须支持IP Multicast。

2. 新办公楼网络系统设计

2.1 新办公楼网络结构

整个网络要实现数据互通，实现信息发布和对INTERNET的访问，实现网络一体化的管理。网络结构分为核心层和接入层两个部分。采用专线与INTERNET网络进行连接。

本次数据网络担负着传输数据、图像等，实现各种应用的重任，必须满足现阶段及未来5年新办公楼各种数字化应用的需要。支持日常办公、酒店用户、Internet访问的需要和接入用户的访问，针对用户的信息发布，用户对中心相关信息访问。

新办公楼计算机网络分为两套局域网系统，分别为内部办公网和外网：内部办公网是办公系统、管理信息系统、数据存储系统等办公应用系统等基础平台，并为内部人员提供互联网访问服务、对外提供办公网站发布服务；外网是为办公人员提供互联网访问服务等平台。

两套网络都采用星型架构，以一台三层交换机为核心，通过千兆光纤发散连接各楼层接入交换机，接入交换机为各个计算机终端提供千兆到桌面的高速网络连接；另外两套网络各自配置互联网接入设备，通过运营商提供的宽带接入线路连接互联网，实现内部共享上网。

根据办公内网建设的具体需求，办公区网络核心交换机不在此次范围内。

出口防火墙不但完成共享上网、安全防护等功能，还为外出人员或驻外人员提供VPN接入服务，通过VPN隧道和加密技术，使在外人员通过互联网实现对内部办公网资源的安全访问。 防火墙做为设备端，具有以下作用：

 接受客户端连接；

 为客户端分配 IP 地址、DNS 服务器和 WINS 服务器地址；  进行客户端用户的认证与授权；  对 IPSec数据进行加密与转发。

核心层：核心层采用ALCATEL-LUCENT OS9700E万兆线速路由交换机，核心层交换机位于4

层网络中心机房，核心层通过多模光纤链路与接入层交换机相连。

接入层： 接入交换机采用ALCATEL-LUCENT OS6450-24线速路由交换机，分别位于各个楼层的弱电间，通过多模光纤链路上联到核心交换机，接入层交换机提供1000M接入点到桌面。

网络结构如下图所示：

2.2 交换机功能规划

 核心实现IPV4/IPV6路由

网络在核心层，实现网络路由规划、大部分的路由工作由核心交换机完成；同时提供IPv6路由和扩展的对IPv6隧道的支持，包括配置、6-in-4和ISATAP隧道技术，满足各种各样的IPv6需求。

 核心层安全规划

在网络出口，配置1台FG-200B防火墙，对进出内部网络的所有通信进行过滤，对所有进出的通信进行控制和过滤，以及提供外勤人员VPN接入。

核心交换机提供分布式多层安全性，实现如下安全：

 核心层规划L2－7层的安全策略控制，实现数据中心以及各单位间的通信安全控

制；保证通信数据的安全；

 在核心层交换机智能自动动异常通信阻断，使一些非法的异常的通信，不能在网络

中传播；

 交换机具有的DoS保护，防止非法攻击通信设备，影响到网络通信的稳定；  通过以上的安全策略，实现从核心层到接入层的全网分布式的IPS安全防护功能。  VLAN划分，采用VLAN技术，虚拟局域网VLAN是一个重要的组成部分，可以认为虚

拟局域网VLAN是网络的灵魂。通过VLAN的合理设置，网络中的用户可以方便地在网络中移动，而不需硬件线路的改变。这样，可以从逻辑上对用户和其它网络对象进行分组，并设定相应的安全和访问权限，然后，由计算机自动根据配置形成相应的虚拟网络工作组，充分发挥交换网络的优势，体现交换网络高速、灵活、易管理等特性。。  QOS功能

核心交换机具有强大的服务质量控制功能，在核心交换机上，启用流量管理工程。根据不同应用需要和应用特点，分别启用不同的QOS 策略，保障不同应用达到最佳的服务质量。保证新办公楼网络三网融合通信，即使传输大量多媒体视频应用，核心交换机也能提供强大的服务质量控制，保证稳定传输这些数据、语音、图象、视频通信。

2.3 接入Internet规划

新办公楼网络采用统一的出口，为了保证网络安全性，外网的出口配置一台FT-200B防火墙与电信连接，通过防火墙将内外网进行有效隔离。

在防火墙上，提供策略路由，对用户出口通信进行有效控制。在防火墙上启用NAT和PAT功能，使内部所有的IP和端口对外实行屏蔽。在防火墙上，针对不同用户，设置不同的访问权限规划，将内外网用户实行安全隔离。

在防火墙上，设置一个DMZ服务器，将新办公楼所有对外服务器（特别是网络中重要服务器，如WEB网站、MAIL服务器等）放置在DMZ区，实现安全隔离。

在网络出口，配置一台安全审记，对所有进出网络的流量进行安全流量控制，应用监控和

安全审记，使所有出进的流量透明化，保障新办公楼网络安全的同时，可以做到有据可查。

2.3.1 移动用户远程VPN接入规划

在网络出口配置一台防火墙,支持硬件SSL VPN功能。网络移动用户，采用SSL VPN安全接入到内网。用户通过SSL VPN安全接入，利用SSL VPN，无需安装客户端，就可以安全访问内部网络的信息资源。移动用户和家庭用户，通过SSL VPN，接入到内部网络，实现网络安全接入；

2.3.2 网络可靠性规划

整个新办公楼网络，将主要从以下几个方面，进行可靠性规划设计：

网络设备冗余配置和设计

主要从硬件、软件两个方面加以考虑，可以达到5个9的可靠性，以提高整个网络可靠性。  核心交换机，采用硬件冗余配置，实现冗灾备份

 冗余电源模块、机箱温度保护/过热关闭 (温度高于Tmax时关闭)；  交换机支持在线升级，保证网络不停机升级系统；

 通信模块相互独立/模块化，实现模块冗余备份，所有的模块均支持热插拔；

3. 新办公楼网络IP和路由设计

3.1 新办公楼网络VLAN规划

依据用户对网络使用情况以及用户的应用分布等方面需求来规划IP和VLAN，根据不同的特性，对设备和用户进行合理规划，管理VLAN和用户VLAN分开。设备管理、网络中心和无线网设备管理，分别规划为不同的VLAN。接入用户，根据其所在的单位和楼层，分别划分到不同的VLAN中。为了减少每个VLAN中的广播包，以及相互之间的影响，每个VLAN不超过512个用户，也可根据需要，对不同单位的用户进行细分。

在新办公楼网络将根据不同部门，进行VLAN资源组的划分；将根据不同单位，进行VLAN的划分，不同单位分划到不同的VLAN中。同一VLAN的用户，如果需要隔离，可在接入交换机上，启用端口隔离，相互之间可选择性的让他们通信。办公网与酒店网络实现逻辑安全隔离。

3.2 新办公楼网络IP地址规划

3.2.1 内部地址划分

采用层次化的划分策略：为便于网络运行，提高网络寻址效率，同时在划分上做到简单易管理，可以按照层次分配原则，将IP地址按一定规律及具体情况进一步划分，满足整个网络信息服务的需要。为了节约IP资源，在网络中，所有互连IP接口，均可采用私有IP地址，这些IP，用于IP路由，不需要对外提供服务。

1) IP地址分配的方法

IP地址的划分方法有两种： 一种采用固定分配IP地址， 一种采用DHCP动态分配IP地址，

在具体的实施中，可采用DHCP+固定IP相结合的方法进行分配和管理。

2) IP地址划分

内部地址可按每个楼和单位进行分配，每个楼分配连续的地址段，便于进行地址的聚合和控制。例如：行政楼分配的地址段为10.0.0.0～10.63.255.255，VIP住院楼为10.64.0.0～10.127.255.255。这样可以清楚的区分每个楼的网络IP，分别加以控制。

网络地址按每个VLAN为单位进行分配，每个VLAN分配连续的地址段，便于进行地址的聚合和控制。不同子系统，单个VLAN可能需要多个IP地址段，可以在交换机的单个VLAN ，分配从个IP地址段。对于每个VLAN内的地址分配，可以根据具体需求，可采用有类和无类地址段，对VLAN的地址进行细节分。

网络办公采用固定IP地址分配,酒店采用动态分配。网络根据用户，来选择IP分配是采用固定IP还是采用动态分配IP地址，具体实施时灵活选择。具体举列如下所示：

VLAN和IP地址规划表（IP规划以安装规划设计为准）

序号 1 2 3 4 5 6 7 9 10 12 应用区域 交换机管理IP 服务器DMZ 路由互连网段 VPN接入用户VLAN 网络中心设备 网络中心服务器VLAN 无线用户VLAN 办公系统 酒店系统 接入用户 VLAN规划 VLAN 1000 DMZ区IP地址 路由互连网段 VLAN 4 VLAN 6 VLAN 8 VLAN 10 VLAN 13 VLAN 14 无线控制器 IP地址段 10.30.0.0 10.30.2.0 10.30.3.0 10.30.4.0 10.30.6.0 10.30.8.0 10.30.10.0 10.30.12.0 10.30.13.0 10.30.16.0 掩码位数 23 24 24 23 23 23 23 24 24 20 网关 10.24.1.254 10.24.5.254 10.24.7.254 10.24.9.254 10.24.11.254 10.24.13.254 10.24.14.254 10.24.15.254 备注 3.3 新办公楼网络路由规划

3.3.1 路由协议选择

对一个新办公楼网络来说，选择一个合适的路由协议是非常重要的，不恰当的选择有时对网络是致命的，路由协议对网络的稳定高效运行、网络在拓朴变化时的快速收敛、网络带宽的充分有效利用、网络在故障时的快速恢复、网络的灵活扩展都有很重要的影响。

路由包括两个任务：路径选择、信息包的传输。路径的选择取决于metrics，metrics可包括可靠性、延迟、带宽、负载、MTU、通讯费用，不同的路由算法考虑部分或全部的因素。

现在通用的路由协议有：静态路由、RIP、OSPF、BGP等。所有路由算法都要保证：

3.3.2 新办公楼网路由设计

路由协议的选择对网络的可靠性、灵活性、可拓展性有较大的影响。我方根据网络的结构从管理和技术两个方面进行选择路由协议的选择。路由协议的选择基本原则是：

 管理上层次分明，局部的变动不影响上层路由配置和全局路由配置；  技术上应尽量简单、灵活，以提高路由器的处理效率。

 能够反映出整个网络的层次结构，并与自治域、各结点子网的IP 地址分配相结

合，做到合理的路由聚合，减少路由表长度，减轻路由更新给网络带来的负荷。 根据这一原则，网络的路由协议分为两个层次： 域内路由协议：

 新办公楼系统包括核心层和接入层2层结构，整个网络的路由策略管理是一致的，

因此选用域内静态路由，也可采用 OSPF。

出口路由协议（可选）：

 外网入口路由器与Internet结点之间采用静态路由

4. 新办公楼网络安全设计

根据网络的安全需求，网络安全将采用一次规划，分步实施，我们建议采取以下安全措施，为网络构架一个科学合理的安全的网络，可实现全网的安全防范体系。

1) 网络出口安全

 

物理链路的安全

在网络边界设置防火墙，提供安全策略、IPS入侵检测，病毒过滤、邮件过滤、防DDOS攻击、流量整形等  

远程用户VPN安全接入 在DMZ区，设置Web防御系统

2) 网络内部安全

基于物理和设备网络安全

    

硬件设备自身安全

硬件设备安全管理：限止非法硬件设备接入到网络 管理员身份认证/授权 管理通信数据加密 设备分权管理

 利用交换机的自身防攻击、防病毒功能，保证网络主干的正常运行

基于网络通信的网络安全

   

资源组安全控制：不同部门，不同工作人员，分别设置不同的资源组。 防非法硬件设备和IP地址盗用； 访问权限策略控制；

身份识别：利用交换机的用户验证功能，基于用户名和密码的资源组动态分配，对数据资源组的访问采用用户验证；

基于应用联动的网络安全

 

桌面强制检测系统 内部入侵检测IDS

4.1 新办公楼网络出口安全

在新办公楼网络出口,配置一台防火墙与本地INTERNET连接，实现安全隔离。网络可提供双出口与INTERNET通信,当一个ISP网络或链路出现问题时,不会影响到网络对INTERNET的访问。

4.1.1 防火墙安全规划

在出口防火墙上，集成全面的安全功能，实现出口通信的安全过滤和隔离，在两台出口防火墙上，可启用防拒绝服务攻击：防火墙内置入侵防护系统(IPS)，对各种针对网络的攻击，能够实时检测到并且阻断、报警，提供防拒绝服务攻击系统功能，实时防DOS和DDOS攻击；支持系统、协议和特征库管理；  病毒检测

 病毒和蠕虫防御：能够检测、消除感染现有网络的病毒和蠕虫，实时的扫描输入和

输出邮件及其附件（SMTP，POP3，IMAP），在不损失Web性能情况下扫描所有Web内容和插件（HTTP）的病毒特征码。

 VPN反病毒：消除VPN隧道的病毒和蠕虫，阻止远程用户及合作伙伴的病毒传播。  Web 内容过滤：

 处理所有的网页内容，阻挡不适当的内容和恶意的脚本。

 Web内容过滤：根据URL、关键词模式匹配阻止Web站点及页面。  免屏蔽列表：允许管理员设置专门的URL或关键字不被阻断。

 脚本过滤：阻止网页的插件，例如ActiveX、Java Applets和Cookies。  防火墙模式及服务

 工作模式：网络地址转换，透明模式，端口地址转换，路由模式。  用户认证：内建用户认证数据库，支持RADIUS认证数据库。

 服务：支持20多种标准服务（例如：FTP、HTTP），支持用户自定义服务和服务

组。

 时间表：根据小时、日、周和月建立一次性或循环时间表，防火墙根据不同的时间

表定义安全策略。

 虚拟映射：通过把外部地址映射到内部或DMZ网络上的地址使得外部用户能够访问

内部的服务器。

 IP/MAC绑定：自动进行IP与MAC地址的绑定，阻止来自IP地址欺骗的攻击。  流量控制: 允许管理员定义带宽限制并且可以给特定的防火墙策略设置优先等级。

流量优先级的划分

 反病毒控制：基于防火墙访问策略的细粒度病毒防御。  虚拟专用网（VPN）

 在网络之间或网络与客户端之间进行安全通讯，支持工业标准的IPSec、PPTP、

L2TP。

 密钥交换算法：支持自动IKE和手工密钥交换。  硬件加速加密：支持DES，3DES和AES加密算法。  VPN客户端通过：支持IPSec 和 PPTP客户端通过。  入侵检测系统

 实时的基于网络的入侵检测。

 攻击数据库：用户可配置的超过1300种攻击特征库确保可靠的管理。  攻击检测：检测已知的DOS、DDOS攻击，以及绝大多数操作系统和应用协议的漏

洞。

 邮件报警：当监测到攻击时，防火墙会同时向3个邮件地址自动发出警报。

4.1.2 移动用户接入 VPN接入

充分利用防火墙的VPN功能,提供移动用户,安全接入到内部网络。合法的移动用户，采用VPN安全接入到内部内网,就可以安全访问内部网络的信息资源。移动用户和家庭用户，通过VPN，接入到内部网络，实现网络安全接入； 移动用户可采用SSL-VPN，也可采用IPSEC VPN，安全接入到新办公楼的网络。

4.2 核心交换机OmniSwitch9800技术特性

OmniSwitch9800是OmniSwitch9000系列交换机，是第六代高密度线速万兆以太网交换机，采用单片大于120G的ASIC处理芯片，提供真正线速10G、40G交换交换机交换容量高达3840Gbps,包交换率2880Mpps。

OmniSwitch9000系列交换机是一种功能强大、智能化的多层交换平台，可提供高性能，高通信带宽和高可用的性能。这种新型第六代交换平台是阿尔卡特公司现有OmniSwitch系列的升级换代产品。OmniSwitch9000提供了运营商级的优异特性和功能，具有空前的端口密度和海量的吞吐能力，为核心应用和关键性业务提供通信服务。第六代交换平台采用最先进的新一代

ASIC芯片，单模块可提供大于240G的通信容量。提OmniSwitch9000交换机可提供无阻塞的高端口密度万兆以太网交换、运营商级别的可靠性（99.999%）、分布式的多层安全性、智能化的交换和路由服务；最为关键的是，所有这一切全部是线速的。

OmniSwitch 9000具有十分优异的网络技术特性，为新一代IP通信平台提供高速交换和无缝联接，它在许多网络环境中起着重要作用：

 新一代万兆城域网核心层  新一代大型园区网核心层

 服务提供商ISP和大型数据中心（IDC）

 其它专用网络，如教育、广电、电力、交通、航空、金融、政府等

OmniSwitch9000是为新一代网络应用要求而设计，是为处理最复杂的数据流要求而设计，可以提供无阻塞10G以太网交换,它们的关键特性包括：

※ 运营商级可用性：99.999%，智能持续交换――永不停顿网络

※ 交换机支持与防火墙、IDS（任意第三方产品）安全联动，实现网络分布式的IPS防

护功能，交换机能自动隔离网络中的攻击源，

※ 分布式多层安全性：增强型ACL、策略VLAN、认证服务、DoS/IPS保护、主机完整

性验证、与防火墙/IDS安全联动和SSH/SSL等

※ 虚拟交换结构，将多台核心交换机，虚拟成单台交换机，提供无环路架构，简化网

络结构。支持DRR分布式路由,DLA分布式链路聚合,DDM分布式设备管理技术以提高系统可靠性；

※ 现配硬件线速服务器负载均衡(SLB)模块/功能，提供轮询、比率负载均衡算法、提

供服务器健康检查、提供应用健康检查功能，每台支持不少于16个服务器组 ※ 现配硬件IP流采集和分析功能，支持Sflow（RFC 3176）标准格式的协议，能够实

现实时的流量分析和协议分析，支持基于源、目的IP/MAC、VLAN、协议、服务端口等流量统计

※ 运营商级智能性：应用识别、L2/L3/L4 QoS分类

※ 支持高性能独立硬件WIFI无线控制器板卡，提供WIFI FIT AP管理能力 ※ 动态移动性：广泛的VLAN支持、用户认证VLAN功能和认证服务 ※ 支持标准802.1AE以太网链路加密功能 ※ 硬件策略路由PBR，支持服务重定向

※ 支持MPLS VPN(VPLS)功能，支持VPLS，提供在IP/MPLS上的透明LAN服务 ※ 支持 LDP 的传输隧道建立和信令(包括平滑重启) ，支持每服务接入点的灵活优先

级映射/改写，支持FRR提升弹性 ※ 支持多虚拟路由协议（Multi-VRF）功能

※ IP/IPX路由：IPv4（RIPv1/v2、OSPFv2、BGPv4）、IPv6（RIPng、OSPFv3、BGP4、

RIP/SAP）

※ IP组播交换(支持VLAN内部组播抑制功能)：IPv4(IGMP v1/v2/v3、PIM-SM/DM)、

IPv6（MLD v1/v2，PIM-SM/DM 、DVMRP）

※ 支持基于IEEE 802.1ad （QinQ VLAN 堆叠）的供应商桥接服务，支持透明LAN 服

务，具有业务VLAN（SVLAN和客户VLAN（CVLAN）

※ 以太网用户网络接口（UNI）和网络/ 网络接口（NNI）服务 ※ NEBs验证

1. 网络核心交换机OmniSwitch9800性能：

 OmniSwitch9800交换机采用全分布式智能交换体系结构；  OmniSwitch9800交换机具有18个插槽；

 OmniSwitch9800交换机交换容量3840Gbps,吞吐量2880Mpps。具有L2/3/4线速包

交换。

 支持10G、40G通信 2. 系统特性

 分布式硬件L2/L3/L4服务与处理

 支持IEEE 802.1Q（VLAN）、802.1d、802.1w、802.1s、PVST+和RRSTP  支持生成树的BPDU包守护和生成树根守护功能  海量的处理能  无阻塞交换矩阵  线速第二层交换  线速第三层交换  线速ACL(访问控制表)  线速组播交换和路由

 线速病毒过滤

3. 网络核心交换机可靠性特性：

 硬件包括：冗余的机架子系统、交换背板、管理模块、电源和风扇、可热插拔模

块、负载均衡各部件。

 软件包括：在单管理模块中，支持冗余双系统（即同一管理模块有两套操作系统和

配置文件，用于当一个系统软件失败时，备份系统自动对损坏的系统进行修复，对丢失的配置进行自动恢复（可以使系统自动重新加载先前版本的配置和软件）。  主备交换引擎及交换矩阵切换时，L2、L3、L4交换不中断，丢包为“0”  交换机全冗余配置，具有运营商级别的可靠性，达到99．999%标准；  交换机支持ISSU（不间断软件升级）

 支持以太环网保护技术ERP（ITU G.8032）,业务切换时间小于50ms；  支持路由BFD（双向转发检测）, 故障检测时间小于50ms 4. 协议支持：

 支持路由协议：IPv4: RIPv1/v2、OSPFv2、BGPv4，IS-IS、IPv6: RIPng、OSPFv3、

BGP4,RIP/SAP)支持分布式基于硬件的线速路由功能；  硬件IPv4/IPV6、MPLS通信

 支持线速策略路由；支持服务重定向

 源和目的IP、源和目的网络组  源和目的TCP/UDP 源端口；  服务和服务组  内置端口组；

 IP组交换(支持VLAN内部组播抑制功能)，IP v6（MLD v1/v2，PIM-SM/DM 、

DVMRP）、IPv4(IGMP v1/v2/v²、PIM-SM/DM)  支持BootP/DHCP 5. 安全性特性：

 交换机可与防火墙、IDS（任意第三方产品）安全联动，具有IPS防护功能，实现分

布式IPS防护功能；可自动防DOS攻击保护，；  端口具有IPS自动阻断网络攻击行为

 支持主机完整性和安全性认证，确保接入网络的每一台主机是完全符合网络安全规

定的，不符合安全规定的设备将被隔离  线速病毒过滤

 交换机支持基于硬件的访问控制列表(基于IPv4/IPV6的ACL)；

 源和目的Slot/Port、源和目的端口组、 源和目的接口类型  L2：源和目的MAC、源和目的MAC组、源和目的VLAN、IEEE 802.1p  L3：源和目的IP、源和目的网络组、IP-Protocol  L4:：TCP/UDP协议、 TCP/UDP 源端口、 TCP/UDP目的端口

 组播：组播IP、组播网络组、目的VLAN 、PORT、PORT组、MAC、MAC组。  支持认证服务，支持基于RADIUS或LDAP验证；

 支持基于802.1x端口认证，支持802.1x Multi-client, multi-VLAN；  用户通信权限认证，支持无须客户端软件的认证  支持Captive Portal认证

 具有防病毒功能，Auto-install of IP anti spoofing  支持ARP过滤和限制技术，预防ARP欺骗攻击

 支持DHCP应答控制，预防以DHCP服务为手段的网络攻击  支持广播风暴以及组播、单播风暴的压制  支持动态ARP检查防止MAC地址假冒

 支持IP 源地址守护防止用户自己设置静态IP地址 6. VLAN支持：

 支持4096个 802.1Q VLAN；

 支持基于端口、MAC地址、第三层地址和协议类型、用户验证、绑定规则的VLAN；  支持VLAN内主机隔离技术  支持用户验证VLAN（AVLAN）  支持802.1X认证；  VLAN 堆栈 7. QOS支持

 流量监管：基于L2-4层对流进行分类（MAC 目的地址、IP 协议、 IP 源／目的地

址、TCP/UDP源／目的地址、端口、接口类型、 VLAN, 组播等），交换机可以根据

统一的策略对不同业务赋予不同的IP COS （IP 服务类别）,并且采用基于差分服务(DiffServ)进行流量标志和分类处理

 队列优先级管理：每个端口支持8个优先级的硬件优先级队列  带宽控制：支持基于流的入口带宽限制。流量监管的粒度为为1kbps  流量整形：利用基于差额轮询的硬件控制队列调度实现输出带宽整形

 队列调度机制：Pay Check(Paycheck)循环法允许和WFQ算法类似的执行，支持大量

的队列。支持SPQ, WRRQ

 拥塞避免机制：自有的Pay Check循环法，背压，和IEEE 802.3x (可设计的阀值)

流量控制，VSRED (非常简单的随机早期检测)和WRED。每个被指派一个或者多个区分规则。队列阀值通过如上方法监控，当队列阀值被超出时，通过以上算法支持的内部机制开始在“控制方式”下丢包，直到队列阀值回到正常范围。

 支持多种QoS映射方式: 802.1p到TOS和Diffserv，TOS到802.1p和Diffserv，

Diffserv到802.1p和TOS；

 支持基于L2, L3, L4的数据分类: 802.1p, IP COS, DiffServ，  支持端到端的QOS功能。 8. 对路由协议的支持

 RIP v1/v2 RIPng  OSPF v1/v2/v3  OSPF ECMP  IS-IS,  BGP4、MP-BGP  硬件IPv6、MPLS通信

 IPv6（MLD v1/v2、PIM-SM/DM SSM、DVMRP）  IPv4 (IGMP v1/v2/v3、PIM-SM、SSM/DM、DVMRP)  支持BootP/DHCP  VRRP/V1/V2/3  支持线速策略路由  支持服务重定向



源和目的IP、源和目的网络组

  

9. 交换机管理

源和目的TCP/UDP 源端口 服务和服务组 内置端口组

 支持多种管理手段：包括命令行(CLI)、SNMP、Web和网管平台、telnet、  支持Ethernet OAM (运行、管理和维护)，802.3ah EFM，支持带外管理；  现配内嵌式的事件管理功能，能够在预先设定的事件发生时利用机箱内预设的编程

语言编写的程序自动修改所有的配置文件命令语句，整个过程无需任何管理软件或人工干预

 支持端到端测试网络延时、抖动、丢包、流量统计功能；

 可以模拟PC终端向发出WEB服务器发出HTTP访问请求及监测WEB服务器的回应时

间和网页传输时间，

 能配合网管软件输出以上测试数据的各种统计图表及报告，以上功能必须每个方向

物理端口能够同时启用且同时工作。  支持UDLD、LLDP协议  统一的网管软件  用户移动组管理  基于策略Policy管理  语音和数据统一管理

 Port mirroring (many-to-one)

  

VLAN based Flow based

Remote (802.1Q based)

 端口监控，支持对本机和远端交换机的端口做流量镜像

4.3 交换机OmniSwitch 6450技术特性

OmniSwitch 6450是应用于企业和以太网桌面接入的新型三层可堆叠千兆以太网交换机，具有灵活、可扩展和低功耗的系统优化设计。融合了最新的技术和AOS 创新技术。

1.交换机OmniSwitch 6450性能

交换容量：192Gbps/96Gbps

包交换能力： 142.8 Mpps /71.4 Mpps 提供真正的线速10G，完善的安全防护 线速L2/L3/L4交换机 全面的QoS支持 分布式多层安全特性 广泛的路由、服务和过滤机制 支持服务器负载均衡

24/48 x 10/100/1000 端口或24 x 100FX/Gig SFP 2 x 10G Stacking links

最优化功率, 降低的深度和噪音程度 IPv4 and IPv6 RIP和静态路由

2.简化管理

 统一直观的CLI命令行界面，降低培训费用

 基于Web的点击式管理界面，使用简单并配有内置帮助  支持OmniVista，实现全网管理

 使用SNMPv1/2/3穿过在所有OmniSwitch 系列促进第三方NMS集成

 远程Telnet管理和使用SSH进行安全Shell访问  文件上传使用TFTP，FTP，SFTP或SCP

 基于ASCII文本格式的配置文件，适用于离线编辑和批量配置  基于阿尔卡特朗讯5620智能业务管理 3.监控与故障排除

 本地（指示灯）与远程服务日志：系统日志和命令日志  支持端口镜像功能，同时允许一对四的端口镜像  基于镜像的策略—允许使用QoS策略的镜像流量通过

 远程端口镜像，便于通过反映通过网络通信量远程连接的设备

 端口监控功能，允许捕获以太网中文件中的包，显示在屏幕上以协助进行故障排除  sFlow的V5和RMON：先进的监测和报告功能对统计，历史，警报和事件  IP 工具: ping和traceroute 4.网络配置

 自协议10/100/1000端口自动协商端口速率和双工设置  自动MDI/MDIX，自使用直通线和双绞线

 支持BootP/DHCP自动获取管理IP地址，从而简化安装  DHCP中继将客户端请求转发到DHCP服务器  阿尔卡特朗讯映射邻接协议（AMAP）制作拓扑图

 符合IEEE 802.1AB链路层发现协议（LLDP）与MED扩展自动设备检测  GARP VLAN注册协议（GVRP）为支持802.1Q的VLAN 修剪与动态VLAN创建  自动QoS的交换机流量管理，以及来自阿尔卡特朗讯的IP电话流量  网络时间协议(NTP)，实现全网时间同步  可堆叠至8台（* 16台请查看详细情况） 5.可靠性和高可用性

 环快速生成树（RRSTP）的环形拓扑优化的收敛不到100ms的时间

 IEEE602.1S多生成树协议：包括IEEE802.1D STP和IEEE802.1w快速生成树协议  支持在每个VLAN上运行STP（PVST）和阿尔卡特的多生成树(1x1工作模式)  IEEE 802.3ad 链路聚合控制协议（LACP）和模块之间的静态LAG 聚合组  广播和多播风暴控制，以避免影响整体系统性能

 单向链路检测（UDLD）：检测和禁用光纤接口上的光纤单向链路。  冗余和热插拔电源，收发器模块提供不间断服务  双图像和双重配置文件存储提供的备份 6.高级安全/访问控制

 AOS Access Guardian综合使用基于NAC策略架构  自动检测的802.1X多客户，多VLAN  基于MAC认证的非802.1x主机

 基于Web的认证（强制网络门户） -交换机上可定制的网页门户，可用于验证客户

端和非客户端程序。

 支持移动组和“guest” VLAN

 在每台交换机上的主机完整性检测（HIC）代理强制执行HIC检测，致使终端设备控

制遵守企业策略；同样支持检察和修复(*)

 用户网络配置文件（UNP） -简化NAC管理和通过动态控制，提供预先定义的策略配

置，以验证客户端的VLAN，ACL，BW,HIC  安全的SSH与支持PKI 的CLI的会话  集中RADIUS和LDAP用户认证 7.抑制，监测和隔离

 支持阿尔卡特朗讯隔离管理和隔离VLAN（*）

 LPS或MAC地址锁定—只允许己知设备接入网络，防止非法设备的接入  DHCP监听，防止DHCP IP欺骗

 TACACS +的客户端允许通过远程TACACS +服务器认证，授权和统计  动态ARP保护和ARP poisoning检测

 访问控制列表过滤掉不必要的流量，包括拒绝服务攻击，基于 硬件的流过滤（L1-L4）

 BPDU锁定-自动切断一个被认为是防止拓扑环路端口STP BPDU数据包的用户端口  STP Root Guard -防止成为生成树协议根节点边缘设备 8.融合网络

 PoE

 PoE模块支持阿尔卡特朗讯IP电话和WLAN接入点，以及任何符合IEEE802.3af

或者IEEE802.at的终端设备

 可配置每个端口的PoE优先和最大分配功率

 动态分配PoE，仅提供在最有效功耗情况下用电设备需要的总功率  QoS

 优先级队列：每端口的8个硬件队列可进行灵活的QoS管理  流量优先：基于流量的QoS区分内部和外部优先级

 带宽管理：基于流的带宽管理，入口速率限制，每端口出口速率整形  队列管理：可配置的调度算法：严格优先级（SQP），加权循环（WRR）和差额

循环（DRR）

 拥塞避免：支持防止端对端的线段拥塞（E2E-HOL）屏蔽  自动QoS管理交换机流量和来自阿尔卡特朗讯的IP电话流量  三色标记—单/双速率—Commit BW, Excess BW, Burst size

9.L2,L3路由和多播

 IPv4和IPv6

 静态路由的IPv4和IPv6

 IPv4的RIP v1和v2，IPv6的RIPng

 高达256个的IPv4/128 个IPv6静态和RIP路由  高达128 IPv4和16个 IPv6接口

 组播

 IGMPv1/v2/v3 snooping，以优化组播流量  MLD snooping

 高达1000 的多播组/堆叠

 IP多播 VLAN（IPMVLAN）可优化多播复制，在边缘网络节约网络的核心资源优

势

10.网络协议

 DHCP中继（包含通用的UDP中继）  动态主机配置协议（DHCP）中继

 DHCP中继从客户端请求转发到DHCP服务器  每VLAN的通用用户数据报协议（UDP）中继  DHCP选项82 -配置中继代理信息

4.4 千兆防火墙系统性能

本方案采用FG200B，防火墙性能如下： 

硬件特性

 每台提供8个千兆端口数，8个10/100兆端口数  防火墙吞吐量5Gbps  内容过滤吞吐量1000Mbps  并发会话数500,000  用户数无限制

 新建会话数20,000/秒  VPN通道数5000

 支持负载分担和冗余备份，支持双机热备模式  策略数5K

 1 个RS232 Console 端口（115200）

 Web 内容过滤：处理所有的网页内容，阻挡不适当的内容和恶意的脚本。  实时的基于网络的入侵检测。  病毒检测

 病毒和蠕虫防御：能够检测、消除感染现有网络的病毒和蠕虫，实时的扫描输入和

输出邮件及其附件（SMTP，POP3，IMAP），在不损失Web性能情况下扫描所有Web内容和插件（HTTP）的病毒特征码。

 VPN反病毒：消除VPN隧道的病毒和蠕虫，阻止远程用户及合作伙伴的病毒传播。  Web 内容过滤：

 处理所有的网页内容，阻挡不适当的内容和恶意的脚本。  Web内容过滤：根据URL、关键词模式匹配阻止Web站点及页面。  免屏蔽列表：允许管理员设置专门的URL或关键字不被阻断。

 脚本过滤：阻止网页的插件，例如ActiveX、Java Applets和Cookies。  防火墙模式及服务

 工作模式：网络地址转换，透明模式，端口地址转换，路由模式。  用户认证：内建用户认证数据库，支持RADIUS认证数据库。

 服务：支持20多种标准服务（例如：FTP、HTTP），支持用户自定义服务和服务

组。

 时间表：根据小时、日、周和月建立一次性或循环时间表，防火墙根据不同的时间

表定义安全策略。

 虚拟映射：通过把外部地址映射到内部或DMZ网络上的地址使得外部用户能够访问

内部的服务器。

 IP/MAC绑定：自动进行IP与MAC地址的绑定，阻止来自IP地址欺骗的攻击。  流量控制: 允许管理员定义带宽限制并且可以给特定的防火墙策略设置优先等级。

流量优先级的划分

 反病毒控制：基于防火墙访问策略的细粒度病毒防御。  虚拟专用网（VPN）

 在网络之间或网络与客户端之间进行安全通讯，支持工业标准的IPSec、PPTP、

L2TP。

 密钥交换算法：支持自动IKE和手工密钥交换。  硬件加速加密：支持DES，3DES和AES加密算法。  VPN客户端通过：支持IPSec 和 PPTP客户端通过。  入侵检测系统

 实时的基于网络的入侵检测。

 攻击数据库：用户可配置的超过1300种攻击特征库确保可靠的管理。  攻击检测：检测已知的DOS、DDOS攻击，以及绝大多数操作系统和应用协议的漏

洞。

 邮件报警：当监测到攻击时，防火墙会同时向3个邮件地址自动发出警报。

 日志和报告

 将日志记录到可选择的20G内部硬盘、远程Syslog主机或NetIQ Webtre  防火墙报表中心。多种日志:流量、事件和攻击日志。

 搜索功能:可以根据关键字,来源,目的,日期和时间搜索日志记录。

5. 售后服务计划

对于参与投标网设备采购项目提供以下服务承诺： 产品保修期： 1. 2. 3. 4.

产品保修内容:

对于保修期内的客户： 1. 2. 3. 4.

7 x 24 x 365响应； 免费软件升级； 免费产品保修； 免费远程诊断及支持； 所有网络设备产品保修期：3 年

终身免费技术支持和服务，软件免费升级 免费提供技术培训

我公司有大量的网络设备维护备品备件，供新办公楼网络设备的维护使用。

设备升级时，本公司提供最优的价格，为用户提供升级服务。